ルネサス、自動運転時代の機能安全規格に対応する車載コンピューティングシステム向けハードウェア障害検出・予測技術を開発

ルネサス エレクトロニクス株式会社は、車載コンピューティングシステム向けハードウェア障害検出・予測技術を開発し、その技術を用いて自動車機能安全規格ISO26262 ASIL Bを想定ASILとする16nm(ナノメートル、ナノは10億分の1) FinFETプロセス採用の車載コンピューティングシステム向けSoC(System-On-Chip:システムLSI)を開発した。

 

近年、自動車の自動運転システムの開発が活発に行われており、2020年代には自動運転時代の到達が見込まれているが、自動運転では電気/電子システムの安全性が非常に重要となる。国際標準化機構(ISO)は自動車向け機能安全規格ISO26262を策定しランダムハードウェア故障等の各種リスクの評価方法と対策について規定している。

自動運転に用いられる車載コンピューティングシステムは、走行中にシステム内部で故障が発生したとしても、自動車を安全に停止、もしくは安全に走行を継続させる必要がある。したがって車載コンピューティングシステム向けSoCはカメラやセンサーなどから送られる膨大な情報を高速・短時間に処理するために従来のSoCより大規模かつ複雑な機構を持つ一方、安全機構も求められる。

安全機構の実現方法としては機能の冗長化やセルフテスト機構の搭載などがあるが、大規模SoCではその複雑度や高い動作周波数のために機能全体の冗長化は困難だ。また大規模SoCで信頼性の高いセルフテストを行うためには、自動運転等に必要な機能を長時間停止する必要があるため、安全性に問題があった。

この問題を解決するため、ルネサスは先進的なセルフテスト機構によるハードウェアでの故障検出技術を開発した。この技術により自動運転システムに用いられるような大規模SoCにおいても機能安全規格ISO26262 ASIL B基準で要求されうるDiagnostic Coverage (診断カバー率)を満たすことを可能とした。また、このハードウェア故障検出技術に加えて、ランダムハードウェア故障の一要因である瞬間的な電圧降下を予測・抑止する機構も開発し、電圧降下起因の故障の回避を可能とした。

 

【機能ブロック別テストや時分割テストに対応したランタイム・セルフテスト機構】

SoC使用中に発生するランダムハードウェア故障を検出する方法のひとつとして、SoC自身がプログラム実行を一時中断して自己テスト(ランタイム・セルフテスト)を実施する手法がある。この手法は論理回路を冗長化せずにハードウェア障害を検出できるため大規模回路での利用に適しており、またビルトイン・セルフテスト(BIST)用のハードウェアを活用して効率よく回路を検査することで、ソフトウェアのみによる自己診断と比較してテスト時間を短縮することができる。しかし、ランタイム・セルフテストを実行するためにはSoCの通常機能を停止させる必要があり、その間はプログラムを実行することができない。また、この時のテスト時間はチップが複雑化・巨大化するに従い増大し、自動運転に必要な安全機能等を長時間中断させてしまう。

この問題を克服するため、CPUおよびGPUの機能ブロック別にBIST機構を実装、またそのBIST機構を統合制御するコントローラも実装することにより、機能ブロック別のランタイム・セルフテストや1種類のテストを複数回に分割して実行する機能を開発した。この機能により、4CPUで構成されるCPUクラスタのうち特定のCPUのみランタイム・セルフテストを実行し、残りの3CPUでプログラム実行を継続可能としたり、特定のCPU、GPUで実行するランタイム・セルフテストを複数回に時分割することで、例えば音声処理に求められる処理中断時間2ミリ秒以下という要求に対応することが可能となった。

このように、テスト実行によるSoC本来の使用不可時間を最小化し、安全機能の中断時間を許容可能な時間まで最小化することで、複雑・巨大な論理規模を持つSoCにおいてもISO26262 ASIL Bで要求されうるDiagnostic Coverage (診断カバー率)を実現可能とした。

 

【瞬間的な電圧降下によるハードウェア障害抑止機構】

SoC上では論理回路の活性化により瞬間的な電圧降下が発生する場合がある。その電圧降下量は論理回路の動作周波数や活性化率の変化量が大きいほど顕著となる。従来は最大電圧降下に対応できるよう電圧マージンを設ける設計手法がとられたが、プロセスの微細化に伴う電源の低電圧化および周波数増加による電流変化量増加により、電圧マージンを設けた設計が困難になってきている。

この課題を克服するため、以下の3つの機構を開発。

  • 高速動作の電圧検知機構
    電圧差により伝搬時間が変化する可変遅延回路と、基準クロックとの時間差をデジタル値に変換するTime-to-Digital変換機を組み合わせた高速動作可能な電圧検知機構を開発。この電圧検知機構は最も高い動作周波数を持つCPUクロックと同じ2GHzで動作可能。
  • 電圧降下予測機構
    電圧検知機構で得た電圧情報をもとに4サイクル先の電圧値を予測する。予測値があらかじめ設定したしきい値を下回る場合は高速クロック制御機構に制御要求を出す。
  • 高機能クロック制御機構
    クロックゲーティング回路とクロック分周器を組み合わせ、制御要求が届き次第即時に制御対象へのクロック供給を停止し電圧降下を抑止する。また、クロック供給停止後はクロック供給停止前より低い周波数から徐々に周波数を回復させることで、クロック供給再開に伴う電圧降下を最小限に抑える。

この3つの機構を組み合わせることで発生しうる瞬間的な電圧降下を事前に検知し、それによって生じるハードウェア障害を抑止することが可能となった。この機構は従来のSoCに導入されている、もしくはルネサスが想定するユースケースに、新たな安全性を追加するものとなる。

 

そして、この2つの技術を用いて自動車機能安全規格ISO26262 ASIL-Bに対応する16nm FinFETプロセス採用の車載コンピューティングシステム向けSoCを開発し、その技術の有用性を確認した。このSoCは3種類、合計9CPUのヘテロジニアスマルチコア構成となっており、またグラフィカルな表示や高速な演算処理を実現するGPU(Graphics Processing Unit)を搭載している。

 

同社は今回の成果を、2016年1月31日から米国サンフランシスコで開催される「国際固体素子回路会議ISSCC 2016(International Solid-State Circuit Conference 2016)」にて、現地時間の2月1日に発表およびデモ展示を行った。

デモでは同技術を実装したSoC搭載ボードを設置し、ランタイム・セルフテスト機構と電圧降下起因のハードウェア障害予測機構を動作させたままでもCPUとGPUによる継続的な画面描画が行えることを展示することで同成果の有用性を示した。

 

【関連リンク】
ルネサス

Previous

【前編】SORACOMが発表した新サービスは、なにがすごいのか? SORACOM Connected

ルネサス、自動運転時代の車載コンピューティングSoC向けに低遅延・高性能・低消費電力のカメラ画像処理回路を開発

Next